Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations requises pour la console Amazon ECS
Conformément à la bonne pratique pour accorder le moindre privilège, vous pouvez utiliser la stratégie gérée par `AmazonECS_FullAccess` comme modèle pour créer votre propre stratégie personnalisée. De cette façon, vous pouvez supprimer ou ajouter des autorisations pour la stratégie gérée en fonction de vos besoins spécifiques. Pour plus d'informations, consultez [AmazonECS\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html) dans le manuel *AWS Managed* Policy Reference.
## Autorisations pour créer des rôles IAM
Les actions suivantes nécessitent des autorisations supplémentaires pour terminer l'opération :
+ Enregistrement d'une instance externe : pour plus d'informations, veuillez consulter [Rôle IAM Amazon ECS Anywhere](iam-role-ecsanywhere.md).
+ Enregistrement d'une définition de tâche : pour plus d'informations, veuillez consulter [Rôle IAM d'exécution de tâche Amazon ECS](task_execution_IAM_role.md).
+ Création d'une EventBridge règle à utiliser pour planifier des tâches - pour plus d'informations, voir [Rôle EventBridge IAM d'Amazon ECS](CWE_IAM_role.md)
Vous pouvez ajouter ces autorisations en créant un rôle dans IAM avant de les utiliser dans la console Amazon ECS. Si vous ne créez pas les rôles, la console Amazon ECS les crée en votre nom.
## Autorisations requises pour enregistrer une instance externe dans un cluster
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une instance externe dans un cluster et que vous souhaitez créer un nouveau rôle d'instance externe (`ecsExternalInstanceRole`).
Les autorisations supplémentaires suivantes sont requises :
+ `iam` : permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.
+ iam : AttachRolePolicy
+ iam : CreateRole
+ Je suis : CreateInstanceProfile
+ iam : AddRoleToInstanceProfile
+ iam : ListInstanceProfilesForRole
+ iam : GetRole
+ `ssm` : permet aux principaux d'enregistrer l'instance externe auprès de Systems Manager.
**Note**
Pour choisir un `ecsExternalInstanceRole` existant, vous devez disposer des autorisations `iam:GetRole` et `iam:PassRole`.
La politique suivante contient les autorisations requises et limite les actions au rôle `ecsExternalInstanceRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole","ssm:CreateActivation"],
"Resource": "arn:aws:iam::*:role/ecsExternalInstanceRole"
}
]
}
```
------
## Autorisations requises pour enregistrer une définition de tâche
Vous avez besoin d'autorisations supplémentaires lorsque vous enregistrez une définition de tâche et que vous souhaitez créer un nouveau rôle d'exécution de tâche (`ecsTaskExecutionRole`).
Les autorisations supplémentaires suivantes sont requises :
+ `iam` : permet aux principaux de créer et répertorier les rôles IAM et les politiques qui leur sont attachées.
+ iam : AttachRolePolicy
+ iam : CreateRole
+ iam : GetRole
**Note**
Pour choisir un `ecsTaskExecutionRole` existant, vous devez disposer de l'autorisation `iam:GetRole`.
La politique suivante contient les autorisations requises et limite les actions au rôle `ecsTaskExecutionRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsTaskExecutionRole"
}
]
}
```
------
## Autorisations requises pour utiliser Amazon Q Developer afin de fournir des recommandations dans la console
Pour qu’Amazon Q Developer puisse formuler des recommandations dans la console ECS, vous devez activer les autorisations IAM adéquates pour votre rôle ou utilisateur IAM. Vous devez ajouter l’autorisation `codewhisperer:GenerateRecommendations`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": ["codewhisperer:GenerateRecommendations"],
"Resource": "*"
}
]
}
```
------
Pour utiliser le chat en ligne dans la console Amazon ECS, vous devez activer les autorisations IAM adéquates pour votre rôle ou utilisateur IAM. Vous devez ajouter l’autorisation `q:SendMessage` :
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Sid": "AmazonQDeveloperInlineChatPermissions",
"Effect": "Allow",
"Action": ["q:SendMessage"],
"Resource": "*"
}
]
}
```
------
## Autorisations requises pour créer une EventBridge règle pour les tâches planifiées
Vous avez besoin d'autorisations supplémentaires lorsque vous planifiez une tâche et que vous souhaitez créer un nouveau rôle CloudWatch Events (`ecsEventsRole`).
Les autorisations supplémentaires suivantes sont requises :
+ `iam` : permet aux principaux de créer et de répertorier les rôles IAM et les politiques qui leur sont associées, et d'autoriser Amazon ECS à transmettre le rôle à d'autres services pour qu'ils l'endossent.
**Note**
Pour choisir un `ecsEventsRole` existant, vous devez disposer des autorisations `iam:GetRole` et `iam:PassRole`.
La politique suivante contient les autorisations requises et limite les actions au rôle `ecsEventsRole`.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/ecsEventsRole"
}
]
}
```
------
## Autorisations nécessaires pour l’affichage des déploiements de service
Lorsque vous suivez la pratique exemplaire consistant à octroyer le moindre privilège, vous devez ajouter des autorisations supplémentaires afin de visualiser les déploiements de service dans la console.
Vous devez avoir accès aux actions suivantes :
+ ListServiceDeployments
+ DescribeServiceDeployments
+ DescribeServiceRevisions
Vous devez avoir accès aux ressources suivantes :
+ Service
+ Déploiements de service
+ Révision de service
L’exemple de politique suivant contient les autorisations requises et limite les actions à un service spécifié.
Remplacez `account`, `cluster-name` et `service-name` par vos propres valeurs.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ListServiceDeployments",
"ecs:DescribeServiceDeployments",
"ecs:DescribeServiceRevisions"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/cluster-name/service-name",
"arn:aws:ecs:us-east-1:123456789012:service-deployment/cluster-name/service-name/*",
"arn:aws:ecs:us-east-1:123456789012:service-revision/cluster-name/service-name/*"
]
}
]
}
```
------
## Autorisations requises pour afficher les événements du cycle de vie Amazon ECS dans Container Insights
Les autorisations suivantes sont requises pour afficher les événements du cycle de vie. Ajoutez les autorisations suivantes sous forme de politique en ligne au rôle. Pour plus d’informations, consultez la section [Ajout et suppression de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
+ événements : DescribeRule
+ événements : ListTargetsByRule
+ journaux : DescribeLogGroups
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule",
"logs:DescribeLogGroups"
],
"Resource": "*"
}
]
}
```
------
## Autorisations requises pour l’affichage des événements du cycle de vie Amazon ECS dans Container Insights
Les autorisations suivantes sont requises pour configurer les événements du cycle de vie :
+ événements : PutRule
+ événements : PutTargets
+ journaux : CreateLogGroup
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
```
------
# Autorisations requises pour la console Amazon ECS avec CloudFormation
Avant d'utiliser le AWS Management Console pour créer vos ressources, vous devez vous assurer que vous disposez des autorisations IAM appropriées. Pour plus d’informations sur la façon de configurer les autorisations pour la console Amazon ECS en général, consultez d’abord la section [Autorisations requises pour la console Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/console-permissions.html).
La console Amazon ECS est alimentée par AWS CloudFormation et nécessite des autorisations IAM supplémentaires dans les cas suivants :
+ Création d’un cluster
+ Création d'un service
+ Création d'un fournisseur de capacité
Vous pouvez créer une politique pour les autorisations supplémentaires, puis les associer au rôle IAM que vous utilisez pour accéder à la console. Pour plus d’informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*.
## Autorisations requises pour créer un cluster
Lorsque vous créez un cluster dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les CloudFormation piles.
Les autorisations supplémentaires suivantes sont requises :
+ `cloudformation` : permet aux mandataires de créer et de gérer des piles CloudFormation . Ceci est requis lors de la création de clusters Amazon ECS à l'aide de la AWS Management Console et pour la gestion ultérieure de ces groupes.
+ `ssm`— Permet de CloudFormation référencer la dernière AMI optimisée pour Amazon ECS. Cela est nécessaire lors de la création de clusters Amazon ECS à l'aide du AWS Management Console.
La politique suivante contient les CloudFormation autorisations requises et limite les actions aux ressources créées dans la console Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/Infra-ECS-Cluster-*"
]
},
{
"Effect": "Allow",
"Action": "ssm:GetParameters",
"Resource": [
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2*/*",
"arn:aws:ssm:*:*:parameter/aws/service/ecs/optimized-ami/amazon-linux-2023*/*"
]
}
]
}
```
------
Si vous n'avez pas créé le rôle d'instance de conteneur Amazon ECS (`ecsInstanceRole`) et que vous créez un cluster qui utilise des instances Amazon EC2, la console créera le rôle en votre nom.
En outre, si vous utilisez des groupes Auto Scaling, vous avez besoin d’autorisations supplémentaires pour que la console puisse ajouter des balises aux groupes Auto Scaling lors de l’utilisation de la fonctionnalité d’autoscaling de cluster.
Les autorisations supplémentaires suivantes sont requises :
+ `autoscaling` : permet à la console de baliser le groupe Amazon EC2 Auto Scaling. Ceci est requis pour la gestion des groupes Amazon EC2 Auto Scaling lorsque vous utilisez la fonction de scalabilité automatique des clusters (Auto Scaling). La balise est la balise gérée par ECS que la console ajoute automatiquement au groupe pour indiquer qu'il a été créé dans la console.
+ `iam` : permet aux mandataires de répertorier les rôles IAM et les stratégies qui leur sont attachées. Les mandataires peuvent également répertorier les profils d'instance disponibles pour vos instances Amazon EC2.
La politique suivante contient les autorisations IAM requises et limite les actions au rôle `ecsInstanceRole`.
Les autorisations Auto Scaling ne sont pas limitées.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:ListInstanceProfilesForRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/ecsInstanceRole"
},
{
"Effect": "Allow",
"Action": "autoscaling:CreateOrUpdateTags",
"Resource": "*"
}
]
}
```
------
## Autorisations requises pour créer un service
Lorsque vous créez un service dans la console, vous avez besoin d'autorisations supplémentaires qui vous permettent de gérer les CloudFormation piles. Les autorisations supplémentaires suivantes sont requises :
+ `cloudformation` : permet aux mandataires de créer et de gérer des piles CloudFormation . Cela est requis lors de la création de services Amazon ECS à l'aide de l' AWS Management Console et pour la gestion ultérieure de ces groupes.
La politique suivante contient les autorisations requises et limite les actions aux ressources créées dans la console Amazon ECS.
------
#### [ JSON ]
****
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStack*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:*:cloudformation:*:*:stack/ECS-Console-V2-Service-*"
]
}
]
}
```
------